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摘要 : [ 目的/ 意义] 欧盟 数据 保护 新 规 (GDPR ) 中 的 数据 保护 官 (DPO) 制 度 颇 受 关注 。 和 追溯 DPO 制度 演 
进 路 径 ,剖析 DPO 的 设置 与 具体 职责 ,考察 欧盟 DPO 制度 实施 与 影响 ,不 止 关 乎 中 国企 业 对 欧 贸 易 , 更 是 我 国 
相关 规则 体系 构建 的 重要 参考 。[ 方 法 /过 程 ] 通 过 梳理 GDPR 中 有 关 DPO 的 条 款 及 相关 过 程 文本 ,发 现在 GD- 
PR 规定 的 3 种 情形 下 ,数据 控制 者 /处 理 者 应 设置 数据 保护 官 。DPO 的 职责 包括 对 数据 控制 者 相关 工作 人 员 


的 告知 和 建议 、 监 督 数据 处 理 的 合 规 性 、 联 络 数 据 主体 、 
及 保密 等 。[ 结果 /结论 ] 设置 DPO 对 于 确保 数据 控制 者 的 合 规 、 减 轻 监 


同 监管 机 构 合 作 、 数 据 处 理 活动 的 记录 与 归档 、 培 训 以 
管 机 构 负 担 影 响 深 远 。 欧 盟 DPO 制度 


对 中 国企 业 / 机 构 的 启示 在 于 :应 按 GDPR 的 规定 设置 DPO ,并 设计 完整 的 数据 保护 监督 流程 ;对 中 国 数据 保护 
监 畏 及 机 制 建设 的 启示 包括 :明确 规定 数据 控制 者 应 设置 数据 保护 专门 岗位 和 专业 人 员 、 对 不 合 规 的 数据 控制 
狼 给 予 相应 的 责任 追究 和 人 惩罚、 加强 数据 监管 机 构 的 建设 。 
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移动 互联 网 的 飞速 发 展 和 各 种 智能 终端 的 广泛 普 
及 s 使 得 人 类 社会 快 步 进 入 大 数据 、 物 联网 时 代 。 大 数 
据 现 收集、 处 理 和 利用 活动 深入 渗透 到 医疗 .科技 . 教 
育 G 体 育 ,商业 、 经 济 等 社会 生活 的 各 个 领域 ,全 球 化 的 
数据 洪流 正 向 我 们 奔涌 而 来 。 大 数据 能 让 世界 更 加 透 
明 3 拥 有 越 多 的 数据 ,就 意味 着 能 更 精准 地 认识 世界 、 
预测 未 来 ,许多 以 往 我 们 难 解 的 社会 问题 也 能 迎 刃 而 
解 ,但 大 数据 给 我 们 带 来 数据 红利 的 同时 ,也 给 传统 国 
家 封闭 的 疆界 和 国家 安全 带 来 严重 挑战 "1。2016 年 
欧盟 《统一 数据 保护 条 例 》( General data protection regu- 
lation ,GDPR) 的 出 台 表明 了 大 数据 时 代 欧 盟 对 于 个 人 
数据 保护 的 立场 。GDPR 改变 了 之 前 计算 机 自动 处 理 
数据 背景 下 的 数据 保护 规则 ,建立 起 回应 大 数据 时 代 
阴 需 的 更 为 严格 的 数据 保护 框架 中 。 

数据 保护 官 (data protection officer, 下文 简称 
DPO) 的 设置 是 CDPR 中 的 重要 条 款 之 一 ,通过 DPO 
对 数据 控制 者 (单独 或 两 个 以 上 共同 确定 个 人 数据 处 


理 目的 和 方式 的 自然 人 、 法 人 公共 权力 机 关 、 代 理 机 
构 或 其 他 机 构 ) 或 数据 处 理 者 (代表 数据 控制 者 处 理 
个 人 数据 的 自然 人 法人、 公共 权力 机 关 、 代 理 机 构 或 
其 他 机 构 ) 内 部 的 数据 人 处理 活动 进行 合 规 性 监督 ,加强 
数据 收集 处 理 环节 中 的 保护 力度 。 该 条 款 在 整个 欧盟 
数据 保护 框架 中 占据 重要 地 位 , 颇 受 相关 企业 和 实务 
部 门 的 关注 ,不 少 新 闻 媒 体 的 报道 和 社交 网 络 的 帖子 
都 在 热 议 DPO。 但 文献 检索 结果 表明 ,与 此 相关 的 学 
术 成 果 至 今 却 还 密 窗 无几, 国外 学 术 界 除 玉 . 
Lachaud"” 、R，Miguel” 少数 几 位 学 者 对 DPO 的 法 得 
地 位 义务 以 及 责任 等 相关 问题 进行 了 初步 分 析 外 ,与 
此 相关 的 深度 研究 成 果 尚 未 发 现 。 迄 今 为 止 ,国内 除 
了 在 相关 文章 中 提 到 过 DPO 制度 5 ,尚未 发 现 专门 
研究 DPO 的 学 术 论 文 。 虽然 目前 学 术 界 对 DPO 制度 
关注 似乎 不 够 ,但 随 着 GDPR 自 2018 年 5 月 25 日 正式 
实施 ,其 影响 将 日 益 凸 显 ,DPO 制度 运行 及 其 相关 理论 
问题 的 解决 将 愈 发 重要 , 这 不 止 关 乎 中 国企 业 的 对 欧 


性 


贸易 ,更 有 助 于 推进 能 平衡 中 国 数据 经 济 发 展 与 数据 
保护 的 规则 建构 。 


* 本 文系 国家 社会 科学 基金 重点 项 目 " 云 环境 下 数字 学 术 信 息 资 源 安全 的 法 律 保障 体系 研究 ”( 项 目 编号 :14AZD076 ) 研究 成 果 之 一 。 
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中 国 是 欧盟 的 重要 贸易 伙伴 ,我 国企 业 拓展 欧洲 
市 场 时 必然 涉及 对 欧盟 公民 个 人 数据 的 收集 和 处 理 ， 
各 跨国 企业 应 当 严 格 遵 守 GDPR 的 规定 。 通 过 解读 
GDPR 中 DPO 的 相关 规定 ,分 析 DPO 的 设置 规则 及 其 
在 确保 合 规 上 的 基础 性 作用 ,有 利于 我 国企 业 合 规 处 
理 欧盟 公民 的 个 人 数据 ,能 有 效 防 控 我 国企 业 在 中 欧 
贸易 中 的 违规 风险 。 尤 为 重要 的 是 , 随 着 我 国 4 网 络 安 
全 法 兴 民 法 总 则 》 等 相关 法 律 相 继 回 应 大 数据 时 代 的 
需求 ,确立 了 个 人 数据 保护 条 款 , 姓 庸 置疑 ,这 些 偏 原 
则 性 的 立法 的 真正 落地 需要 与 之 配套 的 具体 规则 体 
系 , 因 此 当前 我 国 构建 能 平衡 数字 经 济 发 展 与 个 人 数 
据 权 利 的 数据 保护 法 律 体系 的 任务 日 益 紧迫 ,深入 人 研 
究 数 据 保护 领域 的 先行 者 一 一 欧盟 创设 的 DPO 制度 ， 
为 我 国 构建 数据 保护 法 律 体系 提供 借鉴 和 参考 ,可 请 


意义 深远 。 


入- 早期 的 个 人 数据 被 划 归 为 隐私 权 范 畴 。 随 着 个 人 
数 驻 收集 和 使 用 的 急剧 增加 ,对 传统 “私人 领域 "产生 


天 如 大 溃 击 。“ 个 人 数据 在 隐私 权 的 范畴 下 ,缺乏 对 搞 


怎 私 主 体 信息 滥用 行为 的 有 效 权能 "" ,世界 上 大 部 
炙 阐 家 开始 关注 个 人 数据 保护 问题 。20 世纪 70 年 代 ， 
欧 济 各 国 开始 进行 个 人 数据 保护 立法 与 制度 建设 ,其 
听 茎 德国 最 为 典型 。1977 年 德国 《联邦 数据 保护 法 》 
首 饮 出 现 DPO( 在 德语 中 表达 为 “beaufuagter ftir den 
datenschutz”) 一 词 ,规定 其 作用 为 确保 数据 控制 者 遵 
守 颖 据 保护 条 款 。2001 年 德国 对 《联邦 数据 保护 法 》 
进行 修改 ,明确 规定 “公共 机 关 和 私人 机 构 应 当 为 
DPO 行使 职责 提供 支持 "5 ,DPO 逐渐 受到 重视 。 进 
入 21 世纪 之 后 ,社交 网 络 . 云 计 算 逐 渐 兴 起 ,黑色 数据 
产业 链 也 逐渐 形成 。 德 国 国内 用 户 数据 泄露 .数据 非 
法 交易 等 乱 象 从 生 ,2009 年 德国 联邦 议会 再 次 对 《 联 
邦 数据 保护 法 》 进 行 修改 。 该 次 修改 提高 了 DPO 的 法 
律 地 位 ,同时 赋予 了 DPO 更 多 权力 。 

除 德国 之 外 ,欧洲 其 他 国家 的 数据 保护 立法 也 存 
在 DPO 或 类 似 概念 ,从 设置 类 型 上 可 划分 为 强制 性 
DPO 和 非 强制 性 DPO 两 类 。 强 制 性 DPO 是 指法 律 明 
文 规定 在 一 定 条 件 下 必须 设置 DPO 职位 ,比利时 、 西 
班 牙 和 匈牙利 等 国 采用 这 一 模式 。 比 利 时 《数据 保护 
法 案 》( Data protection act 1992 ) 及 其 之 后 颁布 的 法 令 
和 修正 案 规定 需 大 规模 收集 处 理 公 民 个 人 数据 的 组 织 
和 团体 应 当 设置 DPO 以 保证 合 规 ;西班牙 《数据 保护 


法 》(Data protection act 1999 ) 规定 处 理 某 些 类 别 数据 
(刑事 犯罪 相关 数据 \ 信 誉 服务 相关 数据 、 税 务 相关 数 
据 、 金 融 相关 数据 社保 相 关 数 据 、 涉 及 一 系列 个 人 相 
关 数 据 等 11 项 ) 时 ,必须 设置 “安全 官 ”( security of- 
ficer) ;匈牙利 4 个 人 数据 保护 和 公共 数据 公示 法 》(4c: 
LI11 of 1992 on the protection of personal data and the 
publicity of public data) 第 28 条 和 第 31A 条 明确 规定 在 
4 种 情形 (处 理 国家 主管 部 门 .国家 劳工 或 国家 犯罪 的 
数据 文件 时 ;金融 机 构 ; 电 信和 服务 提供 商 ;公共 事业 服 
务 提供 者 ) 应 当 设 置 DPO。 非 强制 性 DPO 是 指数 据 控 
制 者 可 以 根据 自身 情况 选择 是 否 设 置 DPO ,英国 、 法 
辐 ,瑞典 等 国 采用 该 模式 。 

2.2 GDPR 制定 过 程 中 有 关 DPO 条 款 的 争议 

1995 年 欧盟 《4 有关 个 人 数据 处 理 中 的 个 人 保护 和 
所 涉 数 据 自由 流通 指令 》( Directive 95/46/EC) 的 制 
定 立 足 于 计算 机 自动 处 理 个 人 数据 ,时 至 今日 其 已 
无 法 应 对 各 种 新 型 数据 风险 。2010 年 起 ,欧盟 开始 
全 面 检讨 其 个 人 数据 保护 框架 。2012 年 1 月 欧盟 委 
员 会 (The European commission ) 向 欧盟 理事 会 (The 
European council) 提交 《欧盟 议会 和 欧盟 理事 会 关于 
规范 个 人 数据 处 理 中 个 人 保护 和 所 涉 数据 自由 流通 
的 条 例 建 议案 》( 下 文 简称 GDPR《 草 案 》)。GDPR 
《草案 》 首 次 将 DPO 写 和 人 欧盟 统一 数据 保护 立法 ,在 
此 后 4 年 的 商议 和 修改 中 ,DPO 一 直 是 修法 争论 的 
焦点 。 

DPO 设置 的 争议 主要 在 两 个 方面 :也 哪些 数据 控 
制 者 应 当 设 置 DPO;@ 是 否 要 强制 满足 条 件 的 数据 控 
制 者 设置 DPO。GDPR《 草 案 》 第 35 条 第 1 款 明确 3 类 
数据 控制 者 应 当 设 置 DPO ,其 (b) 项 规定 “雇员 超过 
250 人 的 企业 应 当 设 置 DPO0”。 英 国法 国 等 国家 认为 
设置 DPO 应 持 自愿 态度 ,强制 无 疑 会 增加 数据 控制 者 
额外 的 负担 ”。 英 国信 息 专员 办 公 室 ( (information 
commissioner”s office ,ICO ) 认为 :企业 如 果 具 有 确保 数 
据 保 护 合 规 性 的 有 效 流程 , 则 不 必 设 置 专门 的 DPO ,是 
否 设 置 DPO 应 当 取 决 于 是 否 有 必要 通过 DPO 来 实现 
合 规 要 求 ,而 不 是 简单 考虑 员工 人 数 '""。 德国、 匈 牙 
利 等 国家 则 倾向 于 采取 强制 性 规定 ,强制 性 规定 对 数 
据 控 制 者 的 规制 更 加 严格 ,更 符合 GDPR 的 立法 目的 。 
因为 这 些 争 议 ,欧洲 议会 在 法 案 审议 中 进一步 提升 了 
设置 DPO 的 门槛 ;车 数 据 控制 者 连续 12 个 月 内 涉及 
处 理 超过 5 000 名 数据 主体 的 个 人 数据 时 应 当 设置 
DPO'™, 


图 二 情报 三 作 


第 63 卷 第 2 期 2019 年 1 月 


mA 导 间 了 王 
ChinaXiv 合 作 期 刊 


3 ”DPO 的 设置 与 职责 


3.1 DPO 的 设置 
3.1.1 设置 DPO 的 主体 GDPR 第 37 条 第 1 款 规定 
在 以 下 3 种 情形 时 ,数据 控制 者 /处 理 者 应 当 设置 
DPO:QD 需 要 进行 数据 处 理 的 主体 是 行政 机 关 或 公共 
团体 (法 院 除外 ) ;@ 数 据 控制 者 或 数据 处 理 者 的 核心 
业务 由 数据 处 理 组 成 , 且 因 其 性 质 .经 营 范围 或 设立 目 
的 等 需要 对 数据 主体 进行 定期 .系统 大 规模 监测 时 ;@ 
数据 控制 者 或 数据 处 理 者 的 核心 业务 为 处 理 大 规模 特 
殊 类 型 数据 .或 处 理 与 违法 犯罪 定罪 量刑 有 关 数 据 时 。 
(1) 行 政 机 关 或 公共 团体 。GDPR 第 37 条 第 3 款 
规定 ,数据 控制 者 /处 理 者 为 行政 机 关 或 公共 团体 时 应 
当 设置 DPO ,但 考虑 其 组 织 形式 和 政府 行政 成 本 ,通常 
多 从 机 关 或 团体 共同 设置 一 名 DPO ,但 法 院 在 行使 其 
司 深 职能 中 所 涉及 的 数据 处 理 活动 不 在 此 范围 。 
2) 私 有 企业 或 团体 。 针 对 私有 企业 或 团体 ,不 
周 银 据 控制 者 的 经 营 范围 /设立 目的 不 同 , 对 于 数据 处 
理 的 要 求 也 不 同 。GDPR 规定 : 若 企业 核心 业务 为 数 
据 好 理 , 且 需要 对 数据 主体 进行 定期 .系统 大 规模 监测 
和 六 当 设置 DPO ,在 实践 中 应 当 综合 企业 数据 处 理 活 
动 的 规模 ,监测 数据 主体 的 时 间 涉及 数据 主体 的 数量 
等 涛 项 因素 综合 考虑 。 
瑟 由 于 各 成 员 国 之 间 存在 国情 和 数据 保护 政策 的 差 
避 &DPO 作为 企业 的 门面 ,在 不 同 国家 要 求 通晓 当地 
的 狂言 且 了 解 当 地 实情 。 针 对 跨国 或 者 跨 区 域 企 
业 拒 团 , 通 常 认为 该 企业 集团 在 同一 国家 内 的 多 个 实 
体 公设 置 一 名 DPO, 且 应 当 确保 DPO 克服 地 方差 异 ， 
与 不 同 成 员 国内 的 实体 保持 紧密 联系 。 针 对 非 欧盟 数 
据 控制 者 ,在 数据 主体 所 在 成 员 国内 应 当 设置 一 名 
DPO 。 
针对 大 规模 处 理 特殊 类 别 数据 及 与 刑事 定罪 和 犯 
罪 有 关 数 据 的 数据 控制 者 或 处 理 者 ,由 于 数据 类 型 的 
特殊 性 ,其 数据 处 理 活动 的 合 规 性 愈加 重要 ,应 当 设置 


数据 控制 者 的 员工 ,熟悉 其 内 部 基本 运作 。 但 由 于 之 
前 不 同 的 工作 背景 ,内 部 DPO 的 数据 保护 知识 和 实务 
经 验 相 对 缺乏 ,数据 控制 者 需要 通过 培训 等 措施 来 提 
高 其 专业 素养 , 合 规 成 本 相对 提高 。 外 部 DPO 通常 为 
专业 的 服务 机 构 或 律师 事务 所 ,专业 知识 和 实务 经 验 
富 。GDPR 规定 DPO 不 得 因 履 行 职责 而 被 处 罚 或 被 
解雇 。 但 内 部 DPO 与 数据 控制 者 之 间 是 雇佣 关系 , 同 
样 适用 成 员 国 劳动 法 和 企业 章程 ,DPO 若 因 履 行 数据 
保护 职责 之 外 的 其 他 原因 违反 劳动 法 或 公司 章程 , 数 
据 控 制 者 仍 可 单方 面 解除 劳动 合同 (劳动 合同 的 单方 
面 终止 仅 适用 于 例如 严重 违反 非 披 露 义务 或 偷窃. 歧 
视 其 他 员工 或 存在 其 他 重大 过 失 的 情形 。 一 般 情 况 下 
适用 GDPR 的 规定 ,不 可 因 履 行 职务 而 受 处 罚 或 被 解 
雇 ) 。 外 部 DPO 与 数据 控制 者 之 间 基 于 服务 合同 来 履 
行 职责 ,双方 可 以 针对 限制 性 条 款 自 行 约定 并 达成 合 
意 , 相 对 于 内 部 DPO 来 说 会 更 加 自由 。 通 常 大 型 企业 
选择 设置 内 部 DPO ,而 中 小 型 企业 为 了 减少 合 规 成 本 
大 多 外 聘 DPO 来 对 特定 数据 处 理 活动 进行 监督 管理 。 
(2) 兼 职 DPO 与 全 职 DPO。 根 据 是 否 专门 从 事 
DPO 的 工作 可 将 DPO 分 为 兼职 (part -time DPO ) 和 全 
职 DPO (fall -time DPO ) 。 兼 职 DPO 的 设置 相对 灵活 ， 
在 一 定 程 度 上 可 以 降低 数据 控制 者 的 合 规 成 本 ,但 在 
其 DPO 职责 与 非 DPO 职责 之 间 会 产生 包括 时 间 分 配 、 
精力 分 配 和 利益 冲突 等 矛盾 。 全 职 DPO 更 为 专 一 尽 
职 , 更 有 利于 个 人 数据 的 保护 ,但 企业 投入 成 本 相应 增 
加 ,对 于 小 型 企业 而 言 负担 过 重 。 在 实践 中 ,数据 控制 
者 应 当 具 体 情 况 具 体 分 析 ,选择 合适 的 DPO 类 型 ,一 
要 保证 达到 合 规 要 求 , 二 要 确保 数据 控制 者 能 够 承担 
得 起 。 
3.1.3 DPO 的 专业 资质 ”GDPR 第 37 条 第 5 款 规定 ， 
DPO 应 当 具 备 一 定 专业 素养 ,包括 数据 保护 法 的 专业 
知识 以 及 实务 操作 能 力 ,同时 能 够 胜任 所 有 DPO 的 职 
责 和 义务 。DPO 需 掌握 的 数据 保护 法 不 仅仅 局 限于 
GDPR ,还 包括 其 他 与 数据 保护 相关 的 欧盟 法 规 和 成 员 


DPO 来 进行 严格 监督 和 管理 。 其 他 各 类 数据 控制 者 或 
数据 处 理 者 可 以 按照 欧盟 或 成 员 国 法 律 的 要 求 设置 
DPO 履行 相应 的 职责 。 
3.1.2 DPO 的 类 型 

(1) 内 部 DPO 与 外 部 DPO。 根 据 DPO 是 否 是 数 
据 控制 者 的 员工 可 将 DPO 分 为 内 部 DPO ( internal 
DPO ) 和 外 部 DPO(external DPO ) 。DPO 不 仅 需 要 熟悉 
数据 控制 者 内 部 的 数据 处 理 活 动 , 还 需要 熟悉 数据 控 
制 者 的 基本 运作 ,并 有 效 地 将 二 者 结合 。 内 部 DPO 是 
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司法 律 ,这 些 法 律 法 规 与 CDPR 相互 影响 。DPO 应 当 
熟悉 数据 控制 者 的 所 有 数据 处 理 活动 ,了 解 其 运作 ,并 
将 二 者 有 效 地 结合 。 除 此 之 外 ,DPO 是 数据 控制 者 与 
数据 主体 、 数 据 保 护 监管 机 构 之 间 联 系 沟通 的 媒介 , 精 
湛 的 人 际 交往 能 力 、 富 有 侵 辑 的 语言 表达 能 力 、 强 大 的 
公关 能 力 等 都 能 为 DPO 履行 其 职责 提供 有 效 帮助 。 
3.2 DPO 的 职责 及 其 履行 

在 令 相 关 主 体 遵守 数据 保护 要 求 方面 ,DPO 起 着 
不 可 或 缺 的 作用 。 一 方面 DPO 要 确认 数据 控制 者 的 


肖 冬 梅 ， 
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义务 ,提供 合 规 性 建议 ,独立 监督 数据 控制 者 内 部 各 项 
数据 处 理 活动 是 否 按 照 数据 保护 规则 进行 ; 另 一 方面 ， 
DPO 作为 数据 主体 和 监管 机 构 的 联络 点 ,是 数据 主体 
联系 数据 控制 者 的 媒介 ,同时 与 监管 机 构 保持 紧密 合 
作 。 
3.2.1 DPO 的 职责 

(1) 通知 和 建议 。GDPR 第 39 条 第 1 款 (a) 项 规 
定 ,为 了 使 数据 控制 者 或 其 他 有 义务 实施 处 理 行为 的 
工作 人 员 明 确 其 义务 和 责任 ,DPO 对 其 有 告知 义务 ,并 
应 提出 相关 建议 。 对 数据 控制 者 来 说 , DPO 应 当 告知 
有 关 数 据 保护 的 一 般 性 政策 及 其 实时 更 新 情况 ;就 有 
关 数 据 保护 的 切实 可 行 的 改进 措施 向 数据 控制 者 或 处 
理 者 提出 建议 ;就 数据 保护 条 款 的 适用 提出 合 规 性 奸 
谈 等 。 对 其 他 有 义务 实施 处 理 行为 的 工作 人 员 来 说 ， 
DG 应 当 向 所 有 员工 (包括 行政 工作 人 员 ) 就 一 般 性 
关 务 问题 进行 告知 解释 并 提出 相关 建议 ,包括 其 自身 
4 引信 数据 权 利 (数据 保护 义务 通常 指向 外 部 客户 , 洪 
在 般 户 等 数据 主体 ,但 是 内 部 雇员 作为 数据 主体 同样 
有 数据 权利 ) 。DPO 接受 任何 有 关 条 例 解释 或 适用 
问题 的 咨询 ,致力 于 提升 数据 控制 者 及 相关 人 员 的 数 
握 保 护 意识 ,加 强 数据 处 理 操作 过 程 中 的 安全 性 ,降低 
受 确 罚 的 风险 。 
SSC2 ) 监 督 数据 处 理 的 合 规 性 。GDPR 第 39 条 第 1 
款 写 ) 项 规定 ,DPO 应 当 监 督 数据 控制 者 内 部 数据 处 
理 活 动 的 合 规 情况 。 数 据 控制 者 内 部 的 数据 处 理 活动 
不 妆 要 遵守 GDPR 的 规定 ,还 要 符合 其 他 欧盟 数据 保 
护 茶 例 .成 员 国 数据 保护 法 以 及 数据 保护 政策 的 要 求 。 
DRO 应 积极 主动 监测 .评估 审查 修正 相关 数据 保护 
措施 。DPO 可 以 主动 或 依 请 求 直 接 在 数据 控制 者 
内 部 调查 与 数据 保护 相关 的 活动 ,解决 相关 问题 ,并 将 
情况 汇报 给 数据 控制 者 的 最 高 管理 层 。DPO 可 以 对 数 
据 处 理 活动 进行 事先 检查 ,监督 数据 保护 影响 评估 工 
作 的 进行 并 提出 建议 (GDPR 第 39 条 第 1 款 (e) 项 ) 。 
DPO 应 当 监督 员工 的 有 关 活动 ,包括 :员工 在 数据 处 理 
工作 上 的 职责 分 配 、 合 规 意识 的 提升 以 及 数据 保护 知 
识 培训 等 事务 。 内 部 审计 (有 助 于 DPO 了 解 企业 或 机 
构 所 控制 个 人 数据 的 类 型 .位 置 .访问 权限 和 投诉 请 
求 ) 或 者 外 部 审计 (通常 交 第 三 方 组 织 进行 ,就 法 律 IT 
等 特定 问题 进行 ) 涉及 个 人 数据 的 潜在 问题 和 活动 也 
在 DPO 的 监督 之 列 。 除 此 之 外 ,DPO 应 当 适 当 考 虑 各 
项 数据 处 理 操 作 可 能 存在 的 风险 (GDPR 第 39 条 第 2 
款 ) ,包括 风险 的 性 质 .范围 ,内容 。 对 数据 控制 者 进行 
合 规 性 监督 可 以 说 是 DPO 确保 个 人 数据 受到 保护 的 


最 基础 的 职责 。 

(3 ) 联络 数据 主体 。CDPR 第 38 条 第 4 款 规 定 ， 
DPO 的 一 个 重要 职责 是 充当 数据 主体 同 数据 控制 者 之 
间 的 联络 点 。DPO 不 仅 要 掌握 数据 保护 相关 的 专业 知 
识 , 同 时 也 要 足够 了 解数 据 控制 者 的 内 情 , 了 解 其 内 部 
所 有 关于 数据 保护 的 事项 与 活动 。 数 据 控制 者 应 当 将 
DPO 的 联系 方式 提供 给 数据 主体 ,方便 数据 主体 与 
DPO 保持 密切 联系 。 数 据 主体 可 以 就 其 个 人 数据 的 处 
理 和 本 条 例 规定 的 有 关 权 利 行使 的 一 切 问题 联络 、 咨 
询 DPO。 

(4) 与 监管 机 构 合 作 。DPO 还 应 当 同 监管 机 构 合 
作 (GDPR 第 39 条 第 1 款 (d) 项 ) ,数据 控制 者 应 当 将 
DPO 的 联络 方式 提供 给 监管 机 构 (GDPR 第 37 条 第 7 
款 )。 合 作 通 常 包括 3 个 方面 :DDPO 可 以 充当 监管 机 
构 的 联络 点 ,处 理 来 自 监管 机 构 的 问 询 或 投诉 ,使 监管 
机 构 可 以 将 相关 风险 或 其 他 紧急 事项 及 时 有 效 地 通知 
到 数据 控制 者 。@DPO 可 以 就 个 人 数据 安全 相关 的 事 
项 向 监管 机 构 事 先 征询 ,包括 审计 问题 ,法律 实施 问 
题 一 般 合 规 性 文件 审查 问题 等 。(3DPO 应 当 监 督 监 
管 机 构 向 数据 控制 者 提出 的 建议 的 实施 情况 .投诉 的 
处 理 情况 ,并 及 时 反馈 回 监管 机 构 。 在 其 权限 范围 内 ， 
DPO 可 以 就 监管 机 构 正 在 审查 的 问题 调查 收集 信息 。 
DP0O 与 监管 机 构 之 间 是 双向 促进 的 工作 关系 ,二 者 之 
间 联 系 越 强大 ,可 以 解决 的 个 人 数据 安全 问题 便 越 多 ， 
权利 被 侵害 的 风险 便 越 小 。 

(5 ) 数 据 处 理 活动 的 记录 与 归档 。 数 据 人 处理 活动 
的 记录 与 归档 在 GDPR 第 37 条 第 1 款 (d) 项 有 明确 规 
定 。 数 据 控制 者 或 处 理 者 需要 保存 所 有 的 数据 处 理 活 
动 (GDPR 第 30 条 第 1 款 )。DPO 承担 对 所 有 数据 处 
理 操作 的 记录 归档 工作 。 记 录 涉 及 :数据 处 理 的 初始 
言 息 .数据 处 理 者 和 第 三 方 数据 处 理 的 原则 宗旨 及 限 
制 合法 的 处 理 条 件 . 个 人 数据 的 集合 .一般 及 特殊 个 
人 数据 类 型 .个 人 数据 的 定位 、 相 关 安 全 措施 、 数 据 的 
收集 和 传输 .数据 的 删除 和 数据 的 生命 周期 数据 处 理 
的 维护 和 更 新 记录 数据 处 理 的 作用 培训、 记录 的 保 
留 期 限 以 及 相关 义务 .政策 ,程序 .协议 和 合同 等 相关 
言 息 。 

(6) 培 训 。 关 于 DPO 的 培训 在 GDPR 第 39 条 第 1 
款 (b) 项 有 明确 规定 。DPO 在 数据 控制 者 内 部 需 定 期 
开展 员工 培训 。 培 训 的 最 低 标 准 是 使 数据 控制 者 内 部 
所 有 员工 了 解数 据 保 护 的 基础 知识 ,具有 数据 保护 的 
一 般 水 平 。 根 据 不 同 部 门 对 数据 保护 程度 的 不 同 需 
求 ,分 别 进行 更 为 深入 的 部 门 培训 和 意识 提升 。DPO 


147 


团 定 情报 三 作 


第 63 卷 第 2 期 2019 年 1 月 


A 和 工 
ChinaXiv 合 作 期 刊 


需要 不 断 发 现 各 部 门 日 常 工作 中 可 能 出 现 的 数据 问 
题 , 并 就 不 同 问题 结合 各 部 门 的 工作 范围 进行 数据 保 
护 教育 。 培 训 方 式 可 以 包括 :电子 邮件 、 纸 质 文件 . 政 
策 宣传 资料 更 新 数据 保护 课程 .研讨 会 .具体 问题 指 
导 和 网 络 课程 等 。 

(7) 保 密 。GDPR 第 38 条 第 5 款 规定 ,DPO 应 当 
就 其 任务 的 履行 承担 保密 义务 ,不 得 泄露 其 履行 职责 
时 获悉 的 信息 和 文件 ,保护 个 人 数据 ,保护 数据 主体 包 
隐私 。 
3.2.2 DPO 的 履 职 保障 为 了 DPO 能 更 好 地 履行 其 
职责 ,GDPR 第 38 条 第 1 款 规定 ,数据 控制 者 或 数据 处 
理 者 应 当 确 保 DPO 能 恰当 、 及 时 地 参与 所 有 个 人 数据 
保护 的 事务 ,为 其 履 职 提供 基本 支持 和 保障 。 

二 (1)DPO 的 独立 地 位 。 数 据 控制 者 设置 DPO 的 目 

的 年 于 对 其 内 部 的 数据 处 理 活动 进行 合 规 性 监督 ,这 
要 水 DPO 对 数据 控制 者 的 数据 保护 政策 ,数据 处 理 活 
吉 逢 一 个 整体 且 全 面 的 认识 。 基 于 此 ,DPO 在 数据 控 
制 霸 内 部 应 当 处 于 相对 独立 的 地 位 ,体现 在 :DD*DPO 
需要 一 条 超越 涉案 上 级 的 汇报 线 来 对 相关 数据 处 理 活 
动 眉 出 异议 "中 ,也 就 是 说 , DPO 的 汇报 线 ( 指 在 企业 
夫 训 层级 结构 中 ,DPO 应 当 向 谁 汇报 工作 ,反映 情况 、 
所 国 意 见 或 建议 以 及 回答 谁 的 问 询 的 一 种 层级 关系 ) 
痢 静 指向 数据 控制 者 或 处 理 者 的 最 高 管理 层 ( 见 GD- 
PE 第 38 条 第 3 款 ) ,其 不 存在 直接 的 上 下 级 ,最 大 限 
有 态 磊 少 汇报 过 程 中 不 必要 的 干扰 和 指示 ,这 是 确保 
DH 独 立 性 的 关键 。@DPO 不 属于 数据 控制 者 的 任 
何 三 个 部 门 , 不 专门 为 某 一 部 门 服务 。DPO 需要 对 所 
有 部 门 的 数据 处 理 活动 进行 监督 , 若 DPO 从 属于 某 一 
部 门 , 在 监督 和 调查 过 程 中 ,DPO 作为 该 部 门 的 一 员 ， 
其 自然 也 是 受 调查 主体 之 一 ,个 人 利益 与 企业 利益 发 
生 冲 突 则 无 法 保证 DPO 履 职 的 客观 性 。 但 并 不 是 说 
DPO 应 与 所 有 部 门 完全 隔绝 ,DPO 的 工作 与 其 他 部 门 
工作 之 间 存 在 交叉 ,其 与 各 部 门 之 间 的 融洽 关系 也 很 
重要 。(@DPO 不 得 因 履 行 数据 保护 职责 而 被 解雇 或 受 
处 罚 ,这 是 对 DPO 的 履 职 保护 。 需 要 注意 的 是 ,DPO 
所 拥有 的 独立 地 位 是 相对 的 。GDPR 规定 DPO“ 不 接 
受 任何 指示 "是 指 其 在 履行 关键 任务 时 的 业务 独立 性 。 
数据 控制 者 根据 不 同 数据 处 理 活动 的 性 质 确定 不 同 的 
数据 保护 政策 和 执行 程序 ,DPO 在 此 范围 内 帮助 数据 
控制 者 以 合 规 的 方式 实现 业务 目标 , 自由 地 提供 有 关 
合 规 的 建议 ,数据 控制 者 是 否 遵循 其 建议 最 终 取决 于 
具体 的 业务 标准 。 

(2) DPO 的 资源 保障 。GDPR 第 38 条 第 2 款 规 
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定 , 数 据 控 制 者 应 当 为 DPO 提供 其 所 需 的 独立 预算 和 
硬件 资源 。 独 立 的 财政 预算 用 以 确保 DPO 职责 的 顺 
利 履行 ,必要 时 ,DPO 还 可 以 请 求 数据 控制 者 批准 额外 
的 经 费 。DPO 应 当 在 各 部 门 拥有 对 个 人 数据 和 处 理 操 
作 的 访问 权限 ,有 权 对 数据 控制 者 内 部 个 人 数据 进行 
采集 ,有 权 对 数据 处 理 操 作 进行 事前 检查 ,数据 控制 者 
应 予以 支持 ,不 得 加 以 限制 。 为 了 更 好 地 履行 职责 ， 
DPO 应 当 拥有 必要 的 资源 支持 ,例如 人 力 资 源 .IT 资 
源 .办 公设 备 等 。 为 了 加 强 自 身 的 工作 能 力 和 业务 水 
平 ,DPO 可 以 要 求 数据 控制 者 采取 一 定 措施 来 维持 或 
加 强 其 专业 知识 ,例如 组 织 培 训 \ 提 供 学 习 机 会 等 。 


4 ”欧盟 DPO 制度 的 实施 将 带 来 的 影响 
4.1 DPO 需求 量 激增 

GDPR 从 2016 年 4 月 14 日 出 台 到 2018 年 5 月 25 
日 正式 实施 的 两 年 多 时 间 内 ,处 于 GDPR 规制 下 的 数 
据 控制 者 或 数据 处 理 者 需要 完成 合 规 清 单 , 为 实施 
GDPR 做 准备 。 合 规 清 单 中 最 重要 的 一 项 事务 便 是 
DPO 的 设置 。GDPR 加 大 对 违规 行为 的 处 罚 力度 无 疑 
给 所 有 数据 控制 者 或 处 理 者 敲 响 警钟 ,从 而 迫使 数据 
控制 者 和 处 理 者 不 得 不 按 GDPR 的 要 求 来 设置 DPO。 

2016 年 底 国 际 隐私 专家 协会 (International Associ- 
ation of Privacy Professionals, IAPP) 的 一 项 研究 对 即将 
产生 的 DPO 数量 进行 了 估算 :首先 计算 出 13 个 非 金 
融 行业 中 大 型 欧盟 企业 的 大 臻 数量 ,根据 GDPR 规定 
的 标准 假设 :中 员工 不 少 于 5 000 名 的 企业 将 “大 规 
模 ” 处 理 和 监测 人 力 资 源 数据 ;@ 交 通 运输 和 仓储 行 
业 、 住 宿 和 餐饮 服务 行业 .专业 科学 和 技术 行业 ,由 于 
其 数据 处 理 活 动 属于 密集 型 ,过 半 的 企业 均 需 要 设置 
一 名 DPO;() 所 有 通讯 行业 的 大 型 企业 均 需 设置 一 名 
DPO ,同时 假设 所 有 的 金融 机 构 和 保险 企业 由 于 其 业 
务 性 质 均 需 设置 一 名 DPO ,行政 机 关 或 公共 团体 则 按 
照 欧盟 “大 型 "企业 的 标准 计算 总 量 ,并 假设 每 5 个 需 
要 一 名 DPO。 由 此 保守 得 出 结论 :一 旦 GDPR 生效 ,在 
欧盟 内 部 将 至 少 产生 28 000 名 DPO”。 

对 于 非 欧盟 国家 ,根据 GDPR 对 数据 控制 者 的 定 
义 推 断 : 只 要 非 欧盟 成 员 国 的 数据 控制 者 是 为 了 向 欧 
盟 境 内 可 识别 的 自然 人 提供 商品 和 服务 而 收集 处 理 
了 其 个 人 数据 ,或 是 为 了 监测 欧盟 境内 可 识别 的 自然 
人 的 活动 而 收集 、 人 处 理 了 其 个 人 数据 ,无 论 其 是 否 位 于 
欧盟 内 部 都 应 当 受 到 GDPR 的 规制 。 根 据 IAPP 年 度 
隐私 治理 报告 表明 ,有 50% 的 美国 企业 需要 遵守 CD- 
PR 的 规定 。 使 用 贸易 额 概 测 法 ,美国 占 欧洲 全 球 贸易 
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的 17.7% ,可 以 计算 其 他 欧洲 主要 贸易 伙伴 可 能 需要 
的 DPO 数量 。 经 估算 可 知 :一 旦 GDPR 生效 ,将 会 在 
全 球 范围 内 创造 多 达 75 000 个 DPO 职位 。 

DPO 的 需求 量 激增 ,但 能 够 胜任 DPO 职位 的 人 才 
仍然 稀缺 。 随 着 GDPR 的 生效 ,一 场 DPO 的 “人 才 大 
战 "正在 打响 。 一 方面 ,供不应求 的 就 业 市 场 将 会 导致 
DPO 的 薪水 升 高 ,为 了 保证 DPO 的 专业 素养 ,企业 设 
置 DPO 的 投入 成 本 将 会 增 大 , 合 规 成 本 升 高 。 另 一 方 
面 ,为 了 增加 DPO 专业 人 才 的 数量 ,与 DPO 相关 的 培 
训 机 构 .认证 机 构 随 之 出 现 ,由 此 将 产生 一 个 新 行业 。 
4.2 DPO 的 设置 对 数据 控制 者 和 监管 机 构 的 影响 

设置 DPO 对 于 确保 数据 控制 者 的 合 规 减轻 监管 
机 构 负 担 ,意义 重大 ,影响 深远 。 其 主要 体现 在 : 
4:e1 事先 审查 ,降低 侵权 风险 ”GDPR 赋予 DPO 事 
先 志 碍 的 权利 ,DPO 监督 数据 处 理 项 目的 设计 ,对 其 进 
行 千 期 审查 .风险 评估 ,在 源头 减少 可 能 存在 的 风险 ， 
以 防止 事后 受到 法 律 制裁 ,为 数据 控制 者 节约 合 规 成 
本 玻 少 赔偿 支出 。 当 然 监管 机 构 仍 有 权 调 查 DPO 的 
韦 查 和 评估 ,并 通过 调查 验证 风险 防范 的 情况 。 
4GD2 优化 争端 解决 机 制 ,减轻 监管 机 构 负担 ”GD- 

民 典 子 DPO 首先 处 理 数据 主体 申诉 的 权利 , 因为 
DED 更 为 熟悉 数据 控制 者 内 部 的 数据 保护 要 求 和 情 
减 ,数据 主体 与 数据 控制 者 之 间 的 一 些微 小 争端. 低 额 
标 答 诉求 可 以 通过 DPO 直接 进行 解决 。 在 一 定 程度 
房 硬 以 减轻 监管 机 构 的 工作 量 ,使 监管 机 构 集中 指导 
和 调查 严重 违规 活动 ,节约 监管 资源 和 成 本 。 数 据 控 
制 考 或 处 理 者 也 将 避免 漫长 的 争端 处 理 程序 ,提高 了 
带 本 效率 。 同 时 ,DPO 作为 数据 主体 ,监管 机 构 与 数据 
控制 者 之 间 的 唯一 联络 点 ,整个 沟通 联络 过 程 合理 化 
程度 较 高 ,减少 了 不 必要 的 干扰 和 冲突 。 
4.2.3 ”加强 组 织 内 部 数据 监管 系统 ,提高 数据 控制 者 
的 竞争 力 “ 在 数据 处 理 过 程 中 ,可 能 存在 风险 的 环节 
多 ,但 DPO 的 审查 清单 详细 全 面 ,使 数据 控制 者 的 数 
据 处 理 活动 有 序 , 确 保 组 织 内 的 合 规 性 ,清楚 有 效 地 判 
断 其 作为 数据 控制 者 是 否 存在 过 错 。 数 据 保护 能 力 逐 
渐 成 为 衡量 市 场 主体 实力 的 标准 之 一 ,DPO 的 存在 妈 
体现 企业 数据 处 理 规模 和 数据 保护 程度 ,一 定 程度 上 
也 能 提高 市 场 主体 的 竞争 力 。 

GDPR 强制 在 一 定 条 件 下 设置 DPO 对 于 整体 数据 
保护 框架 是 有 益 的 ,但 其 实施 可 能 还 存在 一 些 问题 。 
数据 控制 者 数量 庞大 ,其 类 型 .经 营 范围 资金 承受 能 
力 数据 保护 程度 各 有 不 同 ,一 刀 切 ”的 方式 对 于 已 
经 存在 有 序数 据 保护 流程 的 数据 控制 者 施加 了 限制 。 


数据 保护 规则 应 当 注 重 调整 的 是 调控 结果 ,而 不 是 过 
程 ,DPO 的 设置 是 过 程 调控 方式 中 的 优选 而 不 是 唯一 。 
对 于 满足 CDPR 规定 条 件 的 数据 控制 者 ,其 可 能 已 经 
有 实践 效果 较 好 的 数据 保护 流程 ,或 者 ,虽然 没有 数据 
保护 相关 措施 但 其 运营 模式 能 够 将 风险 限制 在 可 控 范 
围 内 ,此 时 仍然 强制 设置 DPO 无 疑 是 会 加 大 企业 运营 
成 本 ,浪费 资源 。 此 外 ,欧盟 各 国 各 地 区 数据 保护 程 
度 发展 政策 存在 差异 ,在 GDPR 出 台 之 前 ,各 国 的 数 
据 保 护 立 法 均 经 过 不 断 修改 已 达到 适应 本 国 国 情 的 程 
度 。GDPR 统一 实施 之 后 ,可 以 预见 DPO 可 能 出 现 “ 水 
土 不 服 " 的 现象 , 若 不 能 正确 消解 其 带 来 的 消极 影响 ， 
不 但 会 加 重 企业 的 合 规 成 本 ,甚至 可 能 带 来 违规 风险 。 
因此 ,在 GDPR 正式 实施 之 际 ,还 有 不 少 问题 有 待 解 
决 。 


5 欧盟 DPO 制度 对 我 国 的 启示 


5.1 欧盟 DPO 制度 对 我 国企 业 的 启示 
中 国 是 欧盟 的 重要 贸易 伙伴 ,中 欧 贸 易 占 欧盟 全 


球 贸 易 的 15% 左右 。GDPR 的 实施 使 得 中 国企 业 同 样 
需要 做 好 数据 保护 专业 人 才 储备 和 合 规 准备 。 中 国 近 
年 来 数据 保护 研究 和 数据 产业 方面 有 了 很 大 长 进 和 发 
展 ,但 企业 数据 保护 意识 仍然 偏 弱 ,这 将 直接 影响 中 
企业 的 数据 保护 水 平和 合 规 能 力 。 为 了 开拓 欧洲 市 
场 ,合法 合 规 地 开展 中 欧 贸易 ,中国 相 关 企业 应 尽快 进 
行 CDPR 的 合 规 性 评估 ,制定 相应 的 应 对 方案 来 主动 
适应 CDPR 的 合 规 性 要 求 。 中 国 相关 企业 应 该 按照 
GDPR 的 规定 ,设置 类 似 于 DPO 的 数据 保护 专 岗 
( 员 ) ,并 设计 一 套 较 为 完整 的 数据 保护 监督 流程 , 制 
定 相 应 的 数据 保护 与 管理 制度 。 

5.1.1 设立 数据 保护 专 岗 ( 员 ) 中 国企 业 可 以 设立 
数据 保护 专 岗 ( 员 ) ,履行 类 似 于 DPO 的 职责 。 该 岗位 
人 员 可 以 就 企业 内 部 个 人 数据 采集 访问、 处理、 传输 
等 涉及 数据 安全 的 问题 或 事项 向 管理 层 提供 建议 ,并 
负责 监督 相关 事项 的 实施 。 对 外 可 以 接洽 来 访 者 ,处 
理 用 户 ( 数 据 主体 ) 或 第 三 方 的 问 询 ,为 其 提供 可 用 信 
自 


5.1.2 记录 个 人 数据 处 理 和 流转 情况 ”从 个 人 数据 
收集 起 ,记录 有 关 该 个 人 数据 的 所 有 使 用 和 流转 情况 。 
这 样 做 的 意义 在 于 :一 方面 ,在 记录 过 程 中 关注 可 能 存 
在 的 风险 ,方便 及 时 汇报 并 作 好 预防 ; 另 一 方面 ,便于 
事后 归 责 。 个 人 数据 被 侵害 后 ,根据 记录 可 以 确定 违 
规 操作 从 而 定位 责任 主体 。 

5.1.3 建立 数据 风险 预警 机 制 


数据 风险 预警 机 制 
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具体 包括 事前 的 风险 评估 、 事 中 的 安全 保障 措施 和 事 
后 的 补救 方案 3 方面 。 企 业 采 集 个 人 数据 之 后 ,作为 
保障 数据 安全 的 义务 主体 ,应 当 采 取 一 定 的 措施 以 履 
行 安全 保障 义务 。 不 得 随意 泄露 . 算 改 .毁损 其 收集 的 
个 人 数据 。 应 当 适 当 采 取 技 术 措施 和 其 他 必要 措施 ， 
防止 个 人 数据 的 泄露 毁损、 丢失。 在 可 能 侵害 个 人 数 
据 或 已 经 侵害 个 人 数据 的 情况 下 ,立即 采取 补救 措施 ， 
按照 规定 及 时 告知 用 户 并 向 有 关 主 管 部 门 报告 。 
5.1.4 加 强 员工 培训 ,提升 企业 数据 保护 意识 DPO 
的 一 项 重要 职责 是 培训 员工 ,而 这 在 我 国有 更 迫切 的 
需求 。 我 国 数据 保护 近年 来 虽然 有 了 很 大 发 展 , 但 普 
及 程度 低 ,国民 保护 意识 不 强 ,专业 人 士 较为 稀缺 。 企 
业 通 过 设置 数据 保护 专 岗 ( 员 ) ,制定 员工 培训 计划 并 
也 尽 实 施 ,在 企业 内 部 普及 数据 安全 知识 ,提升 企业 整 
体 堆 据 保护 意 意识 。 
EE 欧盟 DPO 制度 对 我 国 数据 保护 制度 建设 的 启示 
CO 〇 区 盟 是 全 球 通过 专门 立法 进行 数据 保护 的 先行 
者 5 受 其 数据 保护 新 规 GDPR 深刻 影响 和 启发 的 国家 
包括 但 不 限于 中 国 。“ 徒 法 不 足以 自行 ”",GDPR 关于 
产 握 保护 官 和 数据 监管 机 构 的 设置 和 职责 设 定 , 导 在 
六 数据 主体 权利 的 行使 .数据 控制 者 和 处 理 者 责任 的 
履 各 提供 专业 人 才 队 伍 和 监管 机 制 的 保障 。 GDPR 颁 
凡 ] 年 多 之 后 才 正 式 实施 ,这 是 为 相关 主体 依法 配备 
有 资质 的 DPO 提供 必要 的 过 渡 期 ,因为 专业 人 员 和 专 
站 MV 构 的 建设 不 是 一 一 蹊 而 就 的 。 欧 盟 创 设 的 DPO 制 
国 数据 保护 制度 建设 至 少 有 两 个 方面 的 启示 : 
下 通 sd 祥 法 明确 数据 控制 者 /处 理 者 设置 类似 于 DPO 
的 县 据 保护 专 岗 ( 员 ) 的 义务 ,并 规定 数据 保护 专门 岗 
位 和 专业 人 员 的 职责 与 履 职 ,对 数据 保护 专 岗 ( 员 ) 设 
置 不 合 规 的 数据 控制 者 和 处 理 者 给 予 相应 的 责任 追究 
和 惩罚 ;@ 加 强 数据 监管 体系 建设 ,发 挥 数据 控制 者 / 
处 理 者 的 数据 保护 专 岗 ( 员 ) 的 作用 。 
5.2.1 明确 数据 控制 者 设置 数据 保护 岗 ( 员 ) 的 义务 
与 责任 

(1) 把 数据 保护 专门 岗位 的 设置 以 及 专业 人 员 的 
配备 设 定 为 具有 一 定 规 模 和 特殊 类 型 的 数据 控制 者 和 
处 理 者 的 一 项 义务 。 目 前 我 国 虽 然 在 4 网 络 安全 法 》 
及 其 他 相关 法 中 赋予 了 网 络 运营 商 等 数据 控制 者 和 处 
理 者 数据 保护 的 责任 和 义务 ,但 迄今 未 明确 数据 保护 
的 义务 主体 设置 数据 保护 专门 岗位 和 专业 人 员 的 相关 
规定 ,缺乏 专门 岗位 和 专业 人 员 ,很 容易 导致 法 律 法 规 
的 执行 打折 扣 , 甚 至 得 不 到 有 效 执行 ,这 样 有 法 不 行 、 
执法 不 力 会 严重 损害 法 律 的 权威 。 
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(2) 明确 规定 数据 保护 专门 岗位 和 专业 人 员 的 职 
责 与 履 职 要 求 。 欧 盟 DPO 制度 对 数据 保护 官 的 职责 
和 履行 都 有 明确 规定 :“ 公共 组 织 (法 院 除 外 ) 核心 业 
务 涉及 对 用 户 进行 经 常 性 的 大 规模 的 系统 性 监控 的 企 
业 、 核 心 业务 涉及 处 理 个 人 敏感 数据 或 者 与 刑事 犯罪 
有 关 的 个 人 数据 的 企业 ,应 当 任 命 一 个 数据 保护 官 。 
多 个 相关 企业 可 以 委任 一 个 数据 保护 官 。 数 据 保护 官 
的 职责 包括 通知 和 建议 企业 履行 其 在 GDPR 之 下 的 义 
务 监测 企业 履行 其 义务 以 及 与 监管 部 门 合作 。” 这 在 
很 大 程度 上 确保 了 GDPR 这 个 数据 保护 新 规 具 有 很 强 
的 操作 性 ,对 于 数据 保护 这 样 的 新 领域 ,DPO 事实 上 已 
经 细 化 到 “要 配备 什么 人 (岗位 ) 有 什么 职责 ,应 该 做 
什么 事 、 怎 么 做 这 些 事 ” ,这 样 周密 的 制度 安排 才能 确 
保 GDPR 的 有 效 实 施 。 我 国 在 数据 保护 制度 建设 过 程 
中 知 能 明确 数据 保护 专门 岗位 和 专业 人 员 的 职责 与 履 
职 要 求 , 将 使 得 义务 主体 职责 明晰 ,有 助 于 其 明明 白白 
履行 义务 。 

(3 ) 明确 对 数据 保护 专 岗 ( 员 ) 设 置 不 合 规 的 数据 
控制 者 和 人 处理 者 给 予 相应 的 责任 追究 和 惩罚 。GDPR 
的 惩罚 措施 一 一 违反 GDPR 的 企业 最 高 将 面临 其 全 球 
年 收入 4% 或 2 000 万 欧元 的 巨额 罚款 。 无 强制 则 无 
保障 ,无 惩罚 则 无 威慑 。GDPR 已 经 为 数据 控制 者 与 
处 理 者 画 出 一 张 数据 保护 的 操作 红 图 ,明确 的 责任 追 
究 和 高 额 罚 单 无 疑 直 指 " 执 法 不 严 .违法 不 究 ” 的 侥幸 
心理 ,对 滥用 数据 的 行为 进行 严厉 规制 ,对 个 人 数据 的 
保护 提供 强 有 力 的 保障 。 而 我 国 《网 络 安全 法 》 设 立 
的 事后 处 罚 标准 过 低 , 很 难 起 到 应 有 的 威慑 作用 。 我 
到 在 后 续 的 相关 立法 中 ,可 借鉴 GDPR 的 责任 追究 和 

惩罚 措施 ,以 加 强 对 数据 滥用 行为 的 规制 。 

5.2.2 加 强 数 据 监 管 体系 建设 ,发 挥 数据 控制 者 /处 
理 者 的 数据 保护 专 岗 ( 员 ) 的 作用 从 上 文 有 关 欧 盟 
DPO 制度 的 剖析 可 知 ,加 强 数 据 监管 体系 建设 ,明确 数 
据 监 管 机 构 的 权力 与 边界 ,重视 DPO 与 数据 监管 机 构 
的 合作 ,是 欧盟 数据 保护 新 规 的 有 力 举 措 。 从 欧盟 
DPO 制度 设计 来 看 ,DPO 与 数据 监管 机 构 的 合作 十 分 
重要 。 即 便 有 周密 的 DPO 制度 ,但 若 缺 少 必 要 的 监管 
机 构 及 相应 的 制度 安排 ,DPO 的 功能 也 难以 得 到 有 效 
发 挥 。DPO 是 数据 主体 ,监管 机 构 与 数据 控制 者 /处 理 
者 之 间 的 联络 者 ,也 是 监管 机 构 任务 的 分 担 者 (微小 争 
端 . 低 额 标 的 诉求 的 解决 ) ,监管 机 构 也 对 DPO 负 有 指 
导 和 咨询 之 责 。GDPR 赋予 了 数据 监管 机 关 以 调查 、 
矫正 、 处 罚 等 权力 ,也 明确 了 监管 机 构 与 DPO 的 分 工 
与 合作 ,其 由 在 更 好 地 保护 数据 主体 的 权利 ,这 对 我 国 


肖 冬 梅 , 成 思 雯 . 欧盟 数据 保护 官制 度 研究 


[J]. 图 书 情报 工作 ,2019,63(2) :144 -152. 


正在 探索 中 的 数据 监管 体系 的 建设 ,尤其 是 数据 监管 
机 构 的 权力 和 边界 的 划 定 ,该 体系 中 不 同 主体 之 间 的 
分 工 与 合作 的 规定 ,有 重要 的 借鉴 意义 。 


6 ”结语 


DPO 制度 对 确保 企业 内 部 的 个 人 数据 安全 起 着 基 
础 且 关 键 性 的 作用 。 由 于 GDPR 明确 采用 “ 属 人 管辖 ” 
而 非 “ 属 地 管辖 ” ,因此 其 主张 的 效力 范围 不 止 欧盟 及 
其 成 员 国 ,欧盟 力 至 全 球 相关 数据 控制 者 /处 理 者 均 有 
必要 设置 DPO ,这 不 仅 是 对 数据 主体 的 数据 安全 负责 ， 
也 是 企业 对 数据 风险 进行 防 控 , 并 赢得 用 户 信任 、 确 保 
自身 在 市 场 上 的 竞争 力 的 必由之路 。 欧 盟 一 直 走 在 数 
据 保 护 立 法 的 前 沿 , GDPR 堪 称 全 球 数 据 保护 立法 的 
i ee 向 可 谓 深远 。 可 结合 
律 移植 与 创新 ,探索 欧盟 DPO 制度 的 
WA 
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EU Data Protection Officer: Responsibility, Impact and Enlightenment 
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Abstract: [Purpose/significance | The data protection officer (DPO) in the new regulation of EU data protection 


(GDPR) has attracted considerable attention. Tracing the evolution path of DPO ,analyzing the settings and specific re- 


sponsibilities of it. Studying on DPO system is not only related to trade between China and Europe, but also an important 


reference for the construction of relevant rules system in China. 


| Method/ process | By teasing out the terms of DPO in 


the GDPR and related texts ,in the three cases specified by GDPR, the data controllers or processors should set up DPO. 


The responsibilities of the DPO include that informing and advising to the data controller’ s relevant staff, monitoring the 


compliance of data processing, contacting with data subject, 


cooperating with the supervisory authority, maintaining re- 
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cords and documentation of data processing, training, and confidentiality obligation. [ Result/ conclusion | Setting up DPO 
has far -reaching influence on ensuring the compliance of data controllers and reducing the burden of the supervisory au- 
thority. The enlightenment of DPO for Chinese enterprises or institutions is that DPO should be set up according to the pro- 
visions of CDPR ,and a complete data protection supervision system should be designed as soon as possible. As for the da- 
ta protection supervision system and mechanism construction in China, it should be clearly stipulated that the data control- 
lers have to set up special posts and professionals for data protection, and investigate and punish non -compliant data con- 
trollers with corresponding responsibilities. Meanwhile the construction of data supervisory authority should be strength- 
ened. 


Keywords.: data protection officer personal data protection compliance 


《图 书 情报 工作 》2018 年 优秀 审 稿 专 家 
,ls 年 ,有 近 300 位 审 稿 专家 参加 了 《图 书 情报 工作 》 稿 件 的 同行 评议 工作 , 共 评 审 稿件 1 400 余 篇 次 ,审阅 6 篇 及 以 上 的 专家 有 100 余 
位 仿效 高 质量 的 评审 为 (图 书 情报 工作 》 赣 选 高 质量 稿件 提供 了 保障 。 综 合 考虑 今年 以 来 的 审 稿 数量 .质量 和 时 效 ,评选 出 50 位 2018 年 优 
党 审 稿 专 家 (名单 如 下 ) 。 《图书 情报 工作 》 为 优秀 审 稿 专家 颁发 证 书 并 免费 赠送 一 年 期 刊 的 电子 版 。 感 谢 所 有 审 稿 专家 对 《图 书 情报 工作 》 的 
全 六 和 持 ! 
Vb 下 优秀 审 稿 专家 按 姓 名 拼音 排序 ) : 


= 


工作 单位 刘 雪 立 ”新 乡 医学 院 期 刊 社 /河南 省 科技 期 刊 研究 中 心 
山东 理工 大 学 科技 信息 研究 所 刘 慈 恒 ”北京 大 学 信息 管理 系 
吉林 大 学 公共 卫生 学 院 马 捷 吉林 大 学 管理 学 院 
二 寄 宇 红 ”北京 理工 大 学 图 书馆 马 学 良 国家 图 书馆 
OW 胜利 武汉 大 学 信息 管理 学 院 莫 意 宏 “南京 农业 大 学 信息 科学 技术 学 院 
SS 邓 小 昭 ”西南 大 学 计算 机 与 信息 科学 学 院 件 冬 梅 、 吉 林 大 学 公共 卫生 学 院 
SR 用 红 清华 大 学 图 书馆 裴 雷 ”南京 大 学 信息 管理 学 院 
[区 向 明 上 海 大 学 图 书馆 奢 鸿 。 电子 科技 大 学 图 书馆 
CE， 佳 上 海 社会 科学 院 文学 研究 所 任 树 剑 “上 海外 国语 大 学 图 书馆 
CN 春 梅 中 山大 学 邵 波 南京 大 学 图 书馆 
《 离 ” 凡 西南 交通 大 学 图 书馆 滕 广 青 ”东北 师范 大 学 信息 科学 与 技术 学 院 
韩 ” 亲 ”西南 大 学 计算 机 与 信息 科学 学 院 王立 学 “中 国 科学 技术 信息 研究 所 
胡 昌平 武汉 大 学 信息 资源 研究 中 心 王 晰 镭 ”吉林 大 学 管理 学 院 
黄 ” 密 ”北京 师范 大 学 政府 管理 学 院 王 延 飞 “北京 大 学 信息 管理 系 
黄 国彬 “北京 师范 大 学 政府 管理 学 院 吴 ” 红 “山东 理工 大 学 科技 信息 研究 所 
黄 令 贺 “河北 大 学 管理 学 院 吴 振 新 ”中 国 科学 院 文献 情报 中 心 
姜 春 林 ”大 连理 工大 学 人 文 与 社会 科学 学 部 科学 学 与 科技 管理 向 桂林 “中国 科学 院 生物 物理 研究 所 
研究 所 间 熙 ” 中 国人 民 大 学 信息 资源 管理 学 院 
李 刚 ”南京 大 学 信息 管理 学 院 杨 新 源 ” 重 庆 大 学 图 书馆 
李 明 南京 大 学 信息 管理 学 院 张 广 钦 “北京 大 学 信息 管理 系 
李 武 上 海 交 通 大 学 媒体 与 设计 学 院 张 胶 问 ”北京 大 学 信息 管理 系 
李 书 宁 ”北京 师范 大 学 图 书馆 张卫东 ”吉林 大 学 管理 学 院 
李 卓 卓 ”苏州 大 学 赵 ” 飞 ” 北 京 大 学 图 书馆 
刘 ” 冰 ”天津 师 范 大 学 管理 学 院 赵 宇 翔 ” 南 京 理工 大 学 
刘 期 ”中 南 财经 政法 大 学 信息 与 安全 工程 学 院 祝 忠明 “中国 科学 院 兰州 文献 情报 中 心 /中 国 科 学 院 资源 环境 
刘 春 丽 ”中 国医 科大 学 图 书馆 科学 信息 中 心 
刘 晓 娟 ”北京 师范 大 学 政府 管理 学 院 
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